WordPress 用户破坏网站的六种常见方式

已发表: 2019-12-05

WordPress 表面上看起来很简单,但在内部,它是一个复杂的系统,可以同时为您的内容提供服务、处理客户交易并管理大量数据。 虽然 WordPress 是一个非常稳定的平台,但它并非牢不可破。

即使您小心管理它,您有时也会发现自己的网站已损坏。 在这篇文章中,我们将探讨六种最常见的可能发生方式。

1.使用过多的插件

WordPress 用户被宠坏了——网站管理员可以使用大量的插件。 您应该或不应该安装的插件数量并不多,但重要的是要了解每个插件都会对您的网站产生影响。 为什么?

  1. 每个插件都加载 PHP 代码,这是 WordPress 主要编写的编程语言。 这可能很好……除非代码写得不好且不安全。
  2. 每个插件都在加载 CSS、JavaScript 和图片等资产,这会降低您的网站速度。
  3. 每个插件都需要更新安全和功能,这可能会导致问题。

您安装的每个插件都会增加您遇到问题的机会。 您拥有的插件越多,就越有可能“破坏”您的网站。 当一个网站无法再提供它原本要执行的功能时,它就变成了一块“砖块”。

插件更新可能会用错误的代码破坏网站,因为它们与另一个插件或主题冲突,或者与服务器中的设置冲突。 在这些情况下,经常会看到以下错误消息:“建立数据库连接时出错”、“内部服务器错误”和“连接超时”。 您甚至可能会在您的网站上看到代码字符串。

示例数据库连接错误。
插件问题可能会导致意外的网站错误。

在安装插件之前,请询问您是否会使用它提供的大部分功能。 如果没有,您最好寻找更小、更简单的插件来仅提供您需要的功能。 在任何给定网页上运行的插件代码越少,风险就越小。

Jetpack 等插件提供了多种有价值的功能,使您能够安装一个插件来完成各种任务,而不是几个单独的插件,每个插件都有其自身的风险。 您可以随时关闭任何您不需要的 Jetpack 功能! 像 Jetpack 这样的插件非常适合通过使用单一解决方案来满足许多需求来减少插件膨胀。

2. 从不受信任的来源安装插件或主题

请务必仅从受信任的供应商处下载插件和主题。 WordPress.org 就是其中之一,但您必须确保从其官方开发者那里购买高级插件。

“无效”或“破解”的高级主题或插件通常会被修改为包含恶意代码,这些代码可以做各种令人讨厌的事情并最终破坏或破坏您的网站。

通过 cookie 依赖第三方 Web 服务和跨站脚本 (XSS) 的插件可能会使您的网站面临“cookie 中毒”的可能性(您的网站发出的 cookie 会被拦截并在返回给您之前添加恶意软件)站点)或 SQL 注入(黑客可以借此直接访问您站点的数据库)。 不用说,对于您的网站或您的用户来说,这些都不是好消息。

即使是没有许可证密钥的高级产品也不会收到任何更新,从而使您的网站容易受到攻击。 你应该经常检查插件的更新频率——旧插件更有可能不安全——并阅读评论。 幸运的是,WordPress.org 存储库让这一切变得简单!

然而,Jetpack 是由 Automattic 创建的,Automattic 是 WordPress 的主要贡献者和 WordPress.com 背后的公司。 这意味着它始终是最新的,并为网站所有者提供值得信赖、可靠的解决方案。

3. 编辑您的网站代码

我们都去过那里。 您正在搜索您一直试图在您的网站上解决的问题,并找到一个潜在的解决方案,告诉您复制和粘贴一些代码。 如果您是一位经验丰富的程序员并且拥有不错的 HTML 专业知识,那么这可能没问题。 如果你不是,这可能是危险的,原因有两个:

  1. 如果您不完全了解代码在做什么,您就无法完全理解它可能对您的站点产生的后果或影响。
  2. 您可能很想将代码放在主题的 functions.php 文件中,编辑插件的源代码,或修改 WordPress 核心。 所有这些都是非常糟糕的想法。 如果您在执行此操作时碰巧删除了任何原始代码,您的网站可能会崩溃。

如果您必须安装自己的代码,请始终确保您了解其用途并尽可能在客户端或登台网站上对其进行测试。

4. 被黑

WordPress 是世界上最常用的内容管理系统。 虽然这提供了一个包含大量插件和主题的广泛生态系统以及一个出色的社区,但它的无处不在也使 WordPress 成为任何想要破解网站的人的明显目标。

每天都会发现插件漏洞,大多数(但不是全部)开发人员都非常快速地修补他们的插件。 不幸的是,如果您不及时更新插件,您的网站就会成为黑客的目标。 即使是不产生太多流量的网站也可能被黑客入侵。

黑客经常使用机器人进入您的网站,从而使整个过程自动化。 如果您的网站可以在搜索引擎上找到,那么黑客就可以找到它。 WPScan 漏洞数据库是检查最新错误的好资源。 如您所见,经常会发现新漏洞,有时在安装了数千或数百万次的插件中。 为了保护您的站点,请实施像 Jetpack 这样的安全解决方案,它提供安全扫描、暴力攻击预防、停机时间监控和自动插件更新。

5. 过时的服务器软件

保存您网站的服务器具有操作系统和为其提供支持的底层软件,就像您的计算机一样。 像所有软件一样,它必须不断更新。 许多人没有意识到这些更新的发生,因为他们的虚拟主机在幕后为他们做这件事。

但是,如果您的虚拟主机没有快速应用更新怎么办? 许多网站仍在运行 PHP 5.6,尽管它不再接收任何安全更新。 甚至 PHP 7.1 也将在 2019 年 12 月达到其生命周期的终点。

拥有过时的服务器软件有几个缺点:

  • 安全问题:较旧的软件版本可能存在漏洞。
  • 速度问题:PHP 7.3 比旧版本快得多。
  • 兼容性问题:一些 PHP 函数在 PHP 7.3 中可用,但在 PHP 5.6 中不可用。 如果插件仅支持 7.3 而您运行的是 5.6,这可能会导致问题。 (为了帮助您,WordPress 插件存储库会显示每个插件页面所需的最低 PHP 版本。)

6.配置不当的用户访问

如果您的网站允许多个用户登录并添加或编辑内容,那么您的网站被破坏的风险就会增加。 向太多人授予太多权限会增加某人通过无意的用户输入引起问题的可能性。

通常,网站所有者会授予所有贡献者管理员级别的访问权限。 这是非常危险的,因为所有这些新成立的管理员都可以:

  • 安装和更新插件。
  • 更改您的网站代码。
  • 编辑您的主题和网页设计。
  • 添加或删除页面/帖子/产品/任何其他帖子类型。
  • 访问机密数据(包括在线商店的财务数据)。

以上任何一项都可能破坏网站。 用户应该获得他们完成工作所需的确切权限——仅此而已。 WordPress 带有一些内置的用户角色,但您也可以使用代码或插件(例如用户角色编辑器或成员)创建自己的用户角色。 WooCommerce 为从安全角度理解 WordPress 用户角色提供了一个很好的指南。

Jetpack Activity 为具有多个用户的网站提供透明度。 它记录在您的站点上执行的操作,包括登录尝试、发布或更新的页面、插件安装、设置修改等。 您可以查看谁执行了每个操作以及每个操作发生的时间,并在需要时从该确切时间点恢复您的站点备份。

如果您的 WordPress 网站出现故障该怎么办

最后,网站仍然会崩溃。 无论您是经验丰富的 Web 开发人员还是新手网站构建者,您都可能会在某个时候破坏您的网站。

确保最短停机时间的最佳方法是制定全面的异地备份策略。 不要仅仅依靠您的主机进行备份,因为:

  • 您可能无法控制备份。 您的主机可能每周只备份一次您的网站,但是在数据每小时都在变化的繁忙网站上会发生什么? 实时备份至关重要! 如果您有电子商务商店,则可以在一天中的任何时间下订单。 如果没有实时备份,您可能会丢失从备份到站点崩溃之间的客户数据。
  • 你永远不能太支持。 100% 信任房东是不明智的; 他们也可能受到损害。 多方面的备份方法可以降低您的风险。
  • 从您的主机检索备份并不总是像听起来那么简单。 您可能需要联系支持人员并要求他们恢复备份,这可能需要很长时间,并且取决于您的主机,这是一个困难的过程。 如果您的网站是收入来源,那么它每关闭一分钟都可能意味着收入损失。

还有许多免费和付费的 WordPress 插件备份解决方案。 插件当然提供了有效的选项,但并非所有的备份插件都是平等的。 一些常见的缺点:

  • 默认情况下,一些插件会备份到您的 Web 服务器。 如果您的服务器发生灾难性故障,您的备份也可能会丢失。
  • 一些插件允许您将数据备份到异地帐户,例如 Amazon S3 或 Dropbox。 虽然这是一个好主意,但它要求您在场外提供商处拥有一个帐户,这可能意味着额外费用。
  • 许多免费备份插件缺少实时备份等功能。 高级版本可能既昂贵又需要您为异地备份拥有单独的帐户。

但是,Jetpack 是 WordPress 备份的绝佳解决方案。 无论您拥有哪种类型的站点,Jetpack 都有可靠的备份选项。 每日备份是餐厅、博客和投资组合的绝佳选择,并且包含 30 天的存档期,因此您可以轻松访问最近 30 天的备份。 电子商务商店、新闻机构、会员网站和在线论坛将需要具有无限存档的实时备份,以便您可以从任何时间点恢复您的网站。

活动日志中备份操作的屏幕截图。
备份功能可让您将网站“倒回”到前一个日期。

对您网站的每一项重大更改都会自动保存。 有人刚刚写了评论吗? 您是否添加了新产品? 您是否更新了破坏您网站的插件? 这一切都已备份。

这不仅让您高枕无忧,而且还为您的备份提供了一个坚如磐石的异地平台。 Jetpack 甚至包括一个迁移功能,允许您将整个站点移动到另一台主机或服务器。 如果您的服务器面临灾难性故障,或者您只想将您的站点移动到另一台主机,Jetpack 可以满足您的需求。

破坏网站是很常见的事情。 即使对于最细心的网站所有者来说,您无法控制的事情也可能会出错。 同时拥有现场和非现场备份解决方案是帮助降低风险的好方法。 并且成本相对较低,没有理由冒着您网站安全的风险。

了解有关 Jetpack Backup 的更多信息或比较计划以探索在您的 WordPress 网站上激活 Jetpack 的其他好处。